Microsoft Defender víruskereső kiértékelése a PowerShell használatával
Érintett szolgáltatás:
- Microsoft Defender víruskereső
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
Az Windows 10 vagy újabb és Windows Server 2016 vagy újabb verzióban használhatja a Microsoft Defender Antivirus (MDAV) és a Microsoft Defender Exploit Guard (Microsoft Defender EG) következő generációs védelmi funkcióit.
Ez a témakör azt ismerteti, hogyan engedélyezheti és tesztelheti a fő védelmi funkciókat az Microsoft Defender AV-ben és az Microsoft Defender EG-ben, valamint útmutatást és további információkra mutató hivatkozásokat biztosít.
Javasoljuk, hogy ezt a kiértékelési PowerShell-szkriptet használja a funkciók konfigurálásához, de egyenként engedélyezheti az egyes funkciókat a dokumentum többi részében ismertetett parancsmagokkal.
Az EPP-termékekkel kapcsolatos további információkért tekintse meg az alábbi termékdokumentációkat:
Ez a cikk Windows 10 vagy újabb, illetve Windows Server 2016 vagy újabb konfigurációs beállításait ismerteti.
Ha bármilyen kérdése van egy olyan észleléssel kapcsolatban, amelyet Microsoft Defender AV készít, vagy ha elmulasztott észlelést észlel, elküldhet nekünk egy fájlt a mintabeküldési súgóoldalunkon.
A funkciók engedélyezése a PowerShell használatával
Ez az útmutató a Microsoft Defender víruskereső parancsmagokat tartalmazza, amelyek a védelem kiértékeléséhez használandó funkciókat konfigurálják.
A következő parancsmagok használata:
1. Nyissa meg a PowerShell emelt szintű példányát (válassza a Futtatás rendszergazdaként lehetőséget).
2. Írja be az útmutatóban felsorolt parancsot, és nyomja le az Enter billentyűt.
A Get-MpPreference PowerShell-parancsmaggal ellenőrizheti az összes beállítás állapotát a kezdés előtt vagy a kiértékelés során.
Microsoft Defender AV szabványos Windows-értesítéseken keresztül észlelést jelez. Az észleléseket az Microsoft Defender AV alkalmazásban is áttekintheti.
A Windows eseménynaplója az észlelési és a motoreseményeket is rögzíti. Az eseményazonosítók és a hozzájuk tartozó műveletek listáját a Microsoft Defender víruskereső eseményeket ismertető cikkben találja.
Felhővédelmi funkciók
A standard definíciófrissítések előkészítése és kézbesítése órákat is igénybe vehet; a felhőben biztosított védelmi szolgáltatás másodpercek alatt képes biztosítani ezt a védelmet.
További részletekért tekintse meg a Következő generációs technológiák használata Microsoft Defender víruskeresőben felhőalapú védelemmel című témakört.
| Leírás | PowerShell-parancs |
|---|---|
| A Microsoft Defender Cloud engedélyezése a közel azonnali védelemhez és a fokozott védelemhez | Set-MpPreference -MAPSReporting Advanced |
| Minták automatikus beküldése a csoportvédelem növelése érdekében | Set-MpPreference -SubmitSamplesConsent Always |
| Mindig a felhő használatával tiltsa le az új kártevőket másodpercek alatt | Set-MpPreference -DisableBlockAtFirstSeen 0 |
| Az összes letöltött fájl és melléklet vizsgálata | Set-MpPreference -DisableIOAVProtection 0 |
| Állítsa a felhőblokk szintjét "Magas" értékre | Set-MpPreference -CloudBlockLevel High |
| Magas szintű felhőblokk időtúllépése 1 percre | Set-MpPreference -CloudExtendedTimeout 50 |
Folyamatos védelem (valós idejű vizsgálat)
Microsoft Defender AV azonnal megvizsgálja a fájlokat, amint a Windows látja őket, és figyeli a futó folyamatokat az ismert vagy gyanús rosszindulatú viselkedések esetén. Ha a víruskereső motor kártékony módosítást észlel, azonnal letiltja a folyamat vagy fájl futtatását.
Ezekről a lehetőségekről további információt a Viselkedési, heurisztikus és valós idejű védelem konfigurálása című témakörben talál.
| Leírás | PowerShell-parancs |
|---|---|
| Fájlok és folyamatok folyamatos monitorozása az ismert kártevő-módosítások esetén | Set-MpPreference -DisableRealtimeMonitoring 0 |
| Folyamatosan monitorozza az ismert kártevők viselkedését – még a "tiszta" fájlokban és a futó programokban is | Set-MpPreference -DisableBehaviorMonitoring 0 |
| Szkennelje be a szkripteket, amint látják vagy futtatják őket | Set-MpPreference -DisableScriptScanning 0 |
| A cserélhető meghajtók beszúrása vagy csatlakoztatása után azonnal vizsgálja meg a meghajtókat | Set-MpPreference -DisableRemovableDriveScanning 0 |
Potenciálisan nemkívánatos alkalmazásvédelem
A potenciálisan nemkívánatos alkalmazások olyan fájlok és alkalmazások, amelyek hagyományosan nem minősülnek rosszindulatúnak. Ezek közé tartoznak a gyakori szoftverek külső telepítői, a hirdetésinjektálás és bizonyos típusú eszköztárak a böngészőben.
| Leírás | PowerShell-parancs |
|---|---|
| A grayware, adware és más vélhetően nemkívánatos alkalmazások telepítésének megakadályozása | Set-MpPreference -PUAProtection engedélyezve |
Email és archív vizsgálat
Beállíthatja, hogy a Microsoft Defender víruskereső automatikusan megvizsgálja bizonyos típusú e-mail- és archív fájlokat (például .zip fájlokat), amikor a Windows látja őket. Erről a funkcióról további információt az E-mail vizsgálatok kezelése Microsoft Defender cikkben talál.
| Leírás | PowerShell-parancs |
|---|---|
| E-mail fájlok és archívumok vizsgálata | Set-MpPreference -DisableArchiveScanning 0 Set-MpPreference -DisableEmailScanning 0 |
Termék- és védelmi frissítések kezelése
Általában naponta egyszer kap Microsoft Defender AV-frissítéseket a Windows Update-ből. A frissítések gyakoriságának növeléséhez azonban megadhatja a következő beállításokat, és gondoskodhat arról, hogy a frissítéseket a System Center Configuration Manager, a Csoportházirend vagy a Intune kezelje.
| Leírás | PowerShell-parancs |
|---|---|
| Aláírások frissítése minden nap | Set-MpPreference -SignatureUpdateInterval |
| Az aláírások frissítésének ellenőrzése ütemezett vizsgálat futtatása előtt | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
Speciális fenyegetés- és biztonsági rés kiaknázása elleni védelem és megelőzés – Mappahozzáférés vezérlése
Microsoft Defender Exploit Guard olyan funkciókat biztosít, amelyek segítenek megvédeni az eszközöket az ismert rosszindulatú viselkedésektől és a sebezhető technológiák elleni támadásoktól.
| Leírás | PowerShell-parancs |
|---|---|
| Megakadályozza, hogy rosszindulatú és gyanús alkalmazások (például zsarolóprogramok) módosításokat hajtanak végre a védett mappákon szabályozott mappahozzáféréssel | Set-MpPreference -EnableControlledFolderAccess engedélyezve |
| Hálózatvédelemmel blokkolhatja az ismert rossz IP-címekhez és más hálózati kapcsolatokhoz való csatlakozást | Set-MpPreference -EnableNetworkProtection engedélyezve |
| Kockázatcsökkentések standard készletének alkalmazása biztonsági rés kiaknázása elleni védelemmel | https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml |
| Ismert rosszindulatú támadási vektorok blokkolása a támadási felület csökkentésével | Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba 52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions EngedélyezveAdd-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A 917- 57927947596D -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9 -9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions Enabled |
Egyes szabályok blokkolhatják a szervezetben elfogadhatónak talált viselkedést. Ezekben az esetekben módosítsa a szabályt Engedélyezve beállításról Naplózásra a nemkívánatos blokkok elkerülése érdekében.
Egy kattintással Microsoft Defender offline vizsgálat
Microsoft Defender Offline Scan egy speciális eszköz, amely Windows 10 vagy újabb, és lehetővé teszi, hogy indítsa el a gépet egy dedikált környezetben kívül a normál operációs rendszer. Különösen hasznos erős kártevők, például rootkits esetén.
A funkció működéséről további információt az Microsoft Defender Offline című témakörben talál.
| Leírás | PowerShell-parancs |
|---|---|
| Győződjön meg arról, hogy az értesítések lehetővé teszik a számítógép speciális kártevő-eltávolító környezetbe való indítását | Set-MpPreference -UILockdown 0 |
Források
Ez a szakasz számos olyan erőforrást sorol fel, amelyek segíthetnek Microsoft Defender víruskereső értékelésében.
- Microsoft Defender Windows 10 könyvtárban
- Windows Server 2016 kódtár Microsoft Defender
- Windows 10 biztonsági kódtár
- Windows 10 biztonsági áttekintése
- Microsoft Defender Biztonsági intelligencia (Microsoft kártevőkezelési központ (MMPC)) webhelye – veszélyforrás-kutatás és reagálás
- Microsoft Security webhely
- Microsoft Security blog
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: